c.m.g
22-09-2007, 13:41
Notizia pubblicata il 20/09/2007
Vi ricordate il capitano Prisco Mazzi, bene…Il suo alterego adesso si chiama Anna Camuzzi e con un e-mail dai toni già visti invita i nuovi malcapitati utenti a visionare il “documento” in allegato o in alternativa scaricarlo da una apposito sito web. Ovviamente si tratta di un nuovo dialer, capace di instradare la chiamata su linea analogica del computer verso numeri a tariffazione maggiorata 899, ma non è tutto. Procediamo con ordine…
Il sito web ospitato nell’ormai tristemente noto server cinese sicure-mail.com oltre a tentare di avviare in automatico il download del dialer per gli utenti di Internet Explorer, che amano tenere il proprio browser non aggiornato, questa volta sfruttando un <iframe> abilmente nascosto verifica se il computer dell’utente è vulnerabile ad una serie di bug, tra cui la famosa vulnerabilità del cursore, il tutto per tentare di installare in maniera silenziosa, ossia senza che l’utente si accorga di nulla, la backdoor Bifrose (definizione Symantec) capace di aprire una porta di accesso segreta a disposizione del truffatore nel computer colpito.
http://www.anti-phishing.it/phishing.image/dialer_17092007_02.png
Il sito web www.sicure-mail.com
http://www.anti-phishing.it/phishing.image/dialer_17092007_03.png
Il codice della pagina documenti.htm. Contiene del codice crittografato il quale nasconde un <IFRAME>
http://www.anti-phishing.it/phishing.image/dialer_17092007_04.png
http://www.anti-phishing.it/phishing.image/dialer_17092007_05.png
Il codice sorgente contenuto nel sito maligno collegato al <IFRAME>
Intanto il dialer identificato dal nome allegato.exe, auto-installatori nel computer del utente in automatico o con l’ignara complicità dello stesso, provvede a deviare la connessione Internet (non per gli utenti ADSL) verso i seguenti numeri 899: 8990329**,8990203**,8993993**,8995025**,8993993** rilasciati rispettivamente da CSINFO S.p.A., Wind Telecomunicazioni S.p.A. e Karupa S.p.A.
Ma questa volta riserva anche una spiacevole sorpresa. E’ infatti capace di autoinviarsi a tutti i contatti presenti nella rubrica di outlook express, attraverso al seguente e-mail, la quale in allegato contiene il file importante.zip o fotoamodomenica.exe (uguali nel funzionamento ad allegato.exe)
http://www.anti-phishing.it/phishing.image/dialer_17092007_01.png
Il truffatore questa volta aumenta il livello di pericolosità del proprio sito trappola e dialer, capaci non solo di minacciare l’utente su più fronti, i quali potrebbero dare origine ad una nuova infezione di massa di gran lunga superiore a quella vissuta nel dicembre 2006. I presupposti ci sono tutti. Adesso spetta agli utenti aggiornare il proprio sistema e software anti-virus visto che questa volta il pericolo potrebbe “arrivare” da un loro amico o conoscente.
Link articolo (http://www.webmasterpoint.org/news/nuovo-dialer-diffonde-con-posta-elettronica_p30022.html)
Fonte: WebMasterPoint.org (http://www.webmasterpoint.org/) e Anti-Phishing Italia (http://www.anti-phishing.it/)
Vi ricordate il capitano Prisco Mazzi, bene…Il suo alterego adesso si chiama Anna Camuzzi e con un e-mail dai toni già visti invita i nuovi malcapitati utenti a visionare il “documento” in allegato o in alternativa scaricarlo da una apposito sito web. Ovviamente si tratta di un nuovo dialer, capace di instradare la chiamata su linea analogica del computer verso numeri a tariffazione maggiorata 899, ma non è tutto. Procediamo con ordine…
Il sito web ospitato nell’ormai tristemente noto server cinese sicure-mail.com oltre a tentare di avviare in automatico il download del dialer per gli utenti di Internet Explorer, che amano tenere il proprio browser non aggiornato, questa volta sfruttando un <iframe> abilmente nascosto verifica se il computer dell’utente è vulnerabile ad una serie di bug, tra cui la famosa vulnerabilità del cursore, il tutto per tentare di installare in maniera silenziosa, ossia senza che l’utente si accorga di nulla, la backdoor Bifrose (definizione Symantec) capace di aprire una porta di accesso segreta a disposizione del truffatore nel computer colpito.
http://www.anti-phishing.it/phishing.image/dialer_17092007_02.png
Il sito web www.sicure-mail.com
http://www.anti-phishing.it/phishing.image/dialer_17092007_03.png
Il codice della pagina documenti.htm. Contiene del codice crittografato il quale nasconde un <IFRAME>
http://www.anti-phishing.it/phishing.image/dialer_17092007_04.png
http://www.anti-phishing.it/phishing.image/dialer_17092007_05.png
Il codice sorgente contenuto nel sito maligno collegato al <IFRAME>
Intanto il dialer identificato dal nome allegato.exe, auto-installatori nel computer del utente in automatico o con l’ignara complicità dello stesso, provvede a deviare la connessione Internet (non per gli utenti ADSL) verso i seguenti numeri 899: 8990329**,8990203**,8993993**,8995025**,8993993** rilasciati rispettivamente da CSINFO S.p.A., Wind Telecomunicazioni S.p.A. e Karupa S.p.A.
Ma questa volta riserva anche una spiacevole sorpresa. E’ infatti capace di autoinviarsi a tutti i contatti presenti nella rubrica di outlook express, attraverso al seguente e-mail, la quale in allegato contiene il file importante.zip o fotoamodomenica.exe (uguali nel funzionamento ad allegato.exe)
http://www.anti-phishing.it/phishing.image/dialer_17092007_01.png
Il truffatore questa volta aumenta il livello di pericolosità del proprio sito trappola e dialer, capaci non solo di minacciare l’utente su più fronti, i quali potrebbero dare origine ad una nuova infezione di massa di gran lunga superiore a quella vissuta nel dicembre 2006. I presupposti ci sono tutti. Adesso spetta agli utenti aggiornare il proprio sistema e software anti-virus visto che questa volta il pericolo potrebbe “arrivare” da un loro amico o conoscente.
Link articolo (http://www.webmasterpoint.org/news/nuovo-dialer-diffonde-con-posta-elettronica_p30022.html)
Fonte: WebMasterPoint.org (http://www.webmasterpoint.org/) e Anti-Phishing Italia (http://www.anti-phishing.it/)